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Abstract 



An IC card having an authentication code which is compared with an authentication code obtained by processing data recorded on the 
IC card, and permitting the IC card to be used only when agreement is found. 
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Karte mit integrierter Schaltung 

IC-Karte zum bidirektionalen Datentransfer mit einer 
Vielzahl von Terminals (9 bis 11), auf der ein Berechti- 
gungscode fur die Benutzung der Vielzahl von Terminals 
durch einen Benutzer (16) der IC-Karte gespeichert und 
auf der ein Speicher (19) vorgesehen ist, der in eine Viel- 
zahl von Bereichen (22 bis 24) aufgeteilt ist, dadurch ge- 
kennzeichnet, daS 

jedem der Bereiche ein eigenes Verschlusselungs- und 
Entschlusselungsbegriffspaar (102 bis 107) zugeordnet 

ist, 

wobei die verschiedenen Verschlusselungs- und Ent- 
schlusselungsbegriffspaare jeweils einer Anzahl von Per- 
sonen, die die Terminals (9 bis 11) betreiben, bekanntge- 
geben werden, urn die IC-Karte fur diese Anzahl von Per- 
sonen verwendbar zu gestalten, 

wobei die Daten jedes Bereiches bei Eingabe des dem Be- 
reich zugeordneten Verschlusselungsbegriffes an einem 
der Terminals verschlusselt werden, und 
wobei die Daten jedes Bereiches bei Eingabe des dem Be- 
reich zugeordneten Entschlusselungsbegriffes an einem 
der Terminals entschlusselt werden. 
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Beschreibung 

Die Erfindung betrifft eine IC-Karte gemaB dem Oberbe- 
griff des Patentanspruchs. Eine solche IC-Karte zum bidi- 
rektionalen Datentransfer mit Terminals ist aus der 5 
EP 0 152 024 A2 bekannt Eine IC-Karte, auf der ein Be- 
rechtigungscode fiir die Benutzung der Terminals durch eine 
Person gespeichert ist, ist auch aus der DE 29 17 965 Al be- 
kannL 

Eine IC-Karte, die aus eine KunststoffkartenkOrper, in 10 
den ein IC, d. h. eine integrierte Schaltung eingebettet ist, 
soli eine einzelne Person identifizieren, eine Falschung er- 
schweren und eine groBe Speicherkapazitat haben und findet 
ihre Anwendung bei der elektronischen Abrechnung, bei 
Personalinformationskarteien, der SicherheitskontroUe u. a\ is 

Wenn eine Person in Supermarkten oder Warenhausem 
unter Verwendung einer einzelnen IC-Karte einkauft, ist es 
vom Standpunkt der Beibehaltung der Vertraulichkeit wiin- 
schenswert, daB eine Liste von Kaufen in einem Geschaft 
nicht in anderen Geschaften gelesen werden kann, in denen 20 
der Kunde andere Kaufe tatigt. Zu diesem Zweck sollte die 
IC-Karte mit Transaktionsbereichen versehen sein, die in 
Abhangigkeit von den Geschaften verschieden sind, so daB 
ein Geschaft keinen Bezug auf die Transaktionen von ande- 
ren Geschaften nehmen kann. 

Bisher besteht eine erste Schwierigkeit darin, daB es we- 
der ein Verfahren zum SchUtzen einer Vielzahl von Transak- 
tionsbereichen in derseiben IC-Karte iiber verschiedene Ver- 
schlusseiungsbegriffe noch ein dazu geeignetes SchlQssel- 
steuerverfahren gibt Unter den offentlichen Verschlussel- 
ungssystemen gibt es andererseits beim RAS- Verfahren und 
beim Rabin- Verfahren einen Hauptschliissel. Unter Verwen- 
dung des HauptschlUssels kann die oben erwahnte Schliis- 
selsteuerung wirksam ausgefiihrt werden. 

Eine zweite Schwierigkeit besteht bisher darin, daB die 
Falschung der IC-Karte und die Anderung oder Falschung 
von Daten in der Karte nicht beriicksichtigt wurden. 

Eine dritte Schwierigkeit besteht darin, daB die herkomm- 
liche IC-Karte unter der Voraussetzung hergestellt wurde, 
daB sie von einer einzelnen Person benutzt wird (siehe Nik- 
kei Computer 'Will the Age of IC Card will Come?", 8. Juli 
1985). Gesundheitsdaten, Vermogensdaten und ahnliche 
Daten konnen der IC-Karte eingegeben werden, um diese zu 
benutzen. Zusatzlich zu dem Fall, in dem der Benutzer 
selbst die Personenidendfizierungsnummer eingibt, um die 
gewunschten Daten zu erhalten, kommt es jedoch auch oft 
vor, daB ein Arzt oder ein Bankangestellter eine andere Per- 
sonenidentifizierungsnummer eingibt, um alle gewunschten 
Daten oder einen Teil der gewunschten Daten, beispiels- 
weise in einem Notfall, zu entnehmen. 

Aufgabe der Erfindung ist es, die bekannte IC-Karte so 
aus zubilden, daB sie fiir eine Anzahl von Personen ver- 
wendbar ist, aber jede Person nur auf bestimmte Bereiche 
des Speichers der IC-Karte Zugriff hat 

Diese Aufgabe wird bei einer gattungsgemSBen IC-Karte 
durch die im kennzeichnenden Teil des Patentanspruchs an- 
gegebenen MaBnahmen gelost. 

Die erfindungsgemaBe IC-Karte soil es insbesondere 
moglich machen, eine Falschung der. Karte oder eine Fal- 
schung oder Anderung der Daten in der Karte, beispiels- 
weise einer bargeldlosen Einkaufskreditkarte festzustellen. 

Die erfindungsgemaBe IC-Karte soli es schlieBlich dem 
Benutzer der Karte erlauben, die Daten zu entnehmen und 
gleichfalls nur einem begrenzten Personenkreis moglich 
machen im Notfall Daten zu entnehmen. 

Dazu wird gemaB der Erfindung beim Einschreiben der 
Daten an den Transaktionsbereichen der IC-Karte oder beim 
Lesen der Daten von diesen Transaktionsbereichen der fol- 
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gende Arbeitsablauf ausgefiihrt 

(i) Der IC-Karten-Herausgeber oder -Verwalter berei- 
tet vorher Gruppen von VerschlUsselungs- und Ent- 
schlilsselungsbegrirTen in der Anzahl der Transaktions- 
bereiche vor, die geheimgehalten werden, und bildet ei- 
nen HauptentschlUsselungsbegriff fur alle Entschlus- 
selungsbegriffe. 

(ii) Der Kartenverwalter- oder -herausgeber ordnet ei- 
nen Verschlusseiungsbegriff und einen Entschliissel- 
ungsbegriff jedem Transaktionsbereich zu, schreibt ei- 
nen oberen verfiigbaren Geldbetrag und den Verschlus- 
selungsbegrifToder den Entschlusselungsbegriff an ei- 
nem Teil des Transaktionsbereiches ein und verschlUs- 
selt den obigen Transaktionsbereich unter Verwendung 
des VerschlUsselungsbegriffes. 

(iii) Der IC-Kartenverwalter oder -herausgeber Uber- 
gibt die IC-Karte dem Benutzer. Er handigt weiterhin 
den Verschlusseiungsbegriff und den Entschlussel- 
ungsbegriff den einzelnen Geschaften aus, so daB diese 
die-Transaktionsbereiche ver- und entschlUsseln kon- 
nen. 

Aufgrund der oben beschriebenen Arbeitsvorgange (i) bis 
(iii) haben die verschiedenen Geschafte verschiedene Ver- 
schlUsselungs- und Entschlusselungsbegriffe. Ein gegebe- 
nes Geschaft kann daher nur die Transaktionsbereiche, die 
dem EntschlQsselungs- und VerschiUsselungsbegrifT ent- 
sprechen, die das Geschaft hat, aus einer Vielzahl von Trans- 
akdonsbereichen verarbeiten, die in der IC-Karte enthalten 
sind. Das macht es moglich, die Vertraulichkeit fur den Be- 
nutzer zu schUtzen. Der IC-Karten-Herausgeber halt den 
HauptentschlUsselungsbegriff, der willkurlich alle Transak- 
tionsbereiche der IC-Karte entschlusseln kann, um deren Tn- 
35 halt kennenzulernen. Der HauptentschlUsselungsbegriff 
kann daher dann benutzt werden, wenn die einzelnen Ent- 
schlusselungsbegriffe verlorengegangen sind. Der Haupt- 
entschliisselungsbegriff muB weiterhin nicht fiir die Trans- 
aktionen verwandt werden, er kann sicher aufbewahrt wer- 
40 den. 

GemaB der Erfindung werden weiterhin die Daten in der 
Karte dadurch erfafit, daB der Saldo und eine Datenande- 
rungscodierung gepnifl werden, um mit Anderungen der 
Daten fertigzuwerden. Die Datenanderung in der Geschaft- 
45 stransaktionsdatei oder in der Banktransaktionsdatei wird 
weiterhin dadurch gepriift, daB die Datenanderungscodie- 
rung und die IC-Kartendaten gemischt und sortiert werden. 

Eine Datenanderungsdetektorschaltung ahnelt im Prinzip 
dem Algorithmus einer Codefehlerdetektorschaltung und 
50 kann dadurch verwirklicht werden, daB eine Verschliissel- 
ungsvorrichtung verwandt wird und deren Ausgangsdaten 
zum Eingang ruckgekoppelt werden. 

SchUeBlich kann ein Mikroprozessor der IC-Karte auf der 
Grundlage der eingegebenen Personenidentifizierungsnum- 
55 mer (zusStzlich zu Nummern sind auch Codierungen akzep- 
tabel) die Zulassigkeitsstufe festlegen, und kann ein zugreif- 
barer Datenbereich bestimmt werden, um die erlaubten Da- 
ten zu lief em. 

Im folgenden werden anhand der zugehorigen Zeichnung 
60 besonders bevorzugte Ausfiihrungsbeispiele der Erfindung 
naher beschrieben. Es zeigen 

Fig. 1A und IB in Biockschaltbildern den Aufbau eines 
ersten Ausfuhrungsbeispiels der erfindungsgemaBen IC- 
Karte, 

65 Fig. 2 das FiuBdiagramm eines Arbeitsablaufes, wenn der 
Benutzer einen Kauf in einem Geschaft unter Verwendung 
der IC-Karte tatigt, 
Fig. 3 in einem Blockschaltbild den Aufbau eines zweiten 
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Ausfuhrungsbeispiels der erfindungsgemaBen IC-Karte 

wfihrend des Einkaufs, Im folgenden wird un einzelnen beschneben, wie der to- 

Ffe 4 in einem Blockschaltbild den Aufbau der Datenan- halt des Transaktionsbereiches neu geschneben wud. Der 

derungsdetektorschaltung in der IC-Karte, EntschlUsselungsbegriff 103 wird namlich in die IC-Karte 

Fig 5 in einem Blockschaltbild den Aufbau eines dritten 5 25 dutch das Geschfift 9 eingegeben und die Daten un 

Ausfuhrungsbeispiels der erfindungsgemaBen IC-Karte bei Schlusselspeicher 13 werden mit dem Entschlusselungsbe- 

einem IC-Kartens ystem fur Gesundheitsdaten, griff 103 entschlUsselL Dann wird bestfiugt, ob die Berech- 

Fie 6 in einem Diagramm den Datenaufbau in einem tigungscodierung. die in den entschlUsselten Daten enthal- 

Festspeicher ROM und ten ist > ™ l einer Berechtigungscodierung in Ubereinstim- 

Fie 7 in einem Diagramm den Datenaufbau in einem EE- to mung steht, die aus den Daten des Transaktionsbereiches 22 

R01k £' berechnet wild. Nachdem diese Ubereinstimmung bestatigt 

Die Fig 1 A und IB zeigen den Aufbau eines ersten Aus- worden ist, werden der Transaktionsbereich 22 und die Be- 

fuhrungsbeispiels der erfindungsgemaBen IC-Karte. rechtigungscodierung in Abhfingigkeit von dem Wert des 

Eine deraitige IC-Karte wild zunachst in der folgenden Kaufes neu geschneben, woraufhin die Daten im SchWssel- 

Weisevorbereitet. 15 speicher 13 mit dem obigen Verschlusselungsbegriff ver- 

Ein IC-Kartenherausgeber 101 bereitet Gruppen 102. schlUsselt werden. . . 

103 106 107 von VerschlUsselungsbegriffen und Ent- Wenn sich jedoch herausstellt, daB die Berechtigungsco- 

schlusselungsbegriffen sowie einen Hauptentschlusselungs- dierungen nicht miteinander iibereinstimmen, eizeugt die 

begriff 108 fur die EntschlUsselungsbegriffe 103 .. . 107 vor IC-Karte ein Signal, um das Geschfift 9 Uber diese Tatsache 

und halt den Hauptentschlttsselungsbegriff geheim. Danach 20 zu informieren, so daB das Geschaft 9 die notwendigen 

Ubergibt der IC-Kartenherausgeber 101 die Gruppen 102, MaBnahmen ergreifen kann, um den Kauf zu unterbinden. 

103 106 107 von Verschliisselungs- und EhtschliJssel- Im folgenden wird ein Beispiel eines Einkaufs unter Ver- 

ungsbegriffe'n den Geschfiften 9 . . . 11. Der IC-Kartenher- wendung eines zweiten Ausfuhrungsbeispiels der erfin- 

ausgeberschreibtweiterhin einen verftigbaren oberen Geld- dungsgemaBen IC-Karte beschrieben. 

betrag in die Transaktionsbereiche 22 ... 24. Der IC-Kar- 25 Bei diesem Beispiel ernes Einkaufs konnte ein unlauteres 

tenherausgeber verschlUsselt dann die Gruppen 102, 103, Geschaft dadurch zustandekommen, daB die Daten in der 

106 107 der VerschlUsselungs- und EntschlUsselungsbe- Karte gefindert werden, beispielsweise die Daten des Bar- 

griffe mit dem Verschlusselungsbegriff, der jeder der Karten geldempfangs von einer Bank und die Daten Uber den Ver- 

entspricht, und schreibt jeweils eine SchlUsselbegriffs- kauf und den Kauf geandert werden 

gmppe in jeden Schlusselspeicher 13 ... IS der IC-Karte 30 Fig. 3 zeigt das Blockschaltbild einer IC-Karte, die diese 

25 Dann verschliisselt er die Berechtigungscodierungen Art eines unlauteren Geschfiftw verhindert. 

enfcprechend den an jedem Transaktionsbereich einge- Die IC-Karte kann nicht auf den nfichsten Arbeiuvoigang 

schriebenen Daten mit dem Verschlusselungsbegriff, der je- Ubergehen, es sei denn, daB der Benutzer der IC-Karte durch 

deader Karten entspricht, und schreibt diese Codierungen eine Mischschaltung auf der Grundlage ernes Kennwortes 

nieder. Der IC-Karten-Herausgeber Ubergibt dann die IC- 35 oder fihnlichem bestatigt wird. ^ n ^ lch . e * e !^^ n 8 ^ 

Karte 25 einem Benutzer 16. ist m emen Festspeicher emgeschneben d« mcht dirakt von 

Die Berechtigungscodierung bezieht sich dabei auf die auBen gelesen werden kann. Eine Kontonummer 3 jst 
Daten, die an den Transaktionsbereichen eingeschrieben gleichfalls in den Festspeicher ^eingeschneben. Eine Daten- 
sind die komprimiert sind. finderungsdetektorschaltung 4 bildet erne veischlusselte Be- 
rber einen Eingabe/Ausgabeteil 12 werden Daten in ei- 40 rechtigungscodierung, indem sie das Ausgangssignal einer 
nen Speicher 19 eingeschrieben und vom Speicher 19 gele- VerschlUsselungsvorrichtung zu deren ^IPW™* 
sen, indem ein Prozlssor 17 unter der Steuerung einer Soft- koppelt, wie es in Fig. 4 daigestellt ist Wenn somit die Da- 
ware Oder eines Programmpaketes betrieben wird, das in ei- ten 61 . . . 64. die zu autonsieren sind, geandert und als Da- 
ne^F«^her ifenXlten ist. ten 6 in Fig. 4 ; einge geben werden pfl anzen sich < kA, = 
Fie 2zdBteinRuBdiagrammfurdenArbeitsablaufder « kungen der Bits der gefinderten Daten der Reihenach nach 
ICkW. wf in oeVBenuK einen Kauf in einem Ge- vome fort und iwird eineCodierung 65 ^deUdresKh von 

t."fTo lariat der urspriinglichen Codierung unterscheideL Die Tatsache 

scnart y augi. Datenanderung ^ daher festgesteUt 

201 Der Benutzer gibt seine Peisonenidentifikationsnum- Eine Eingabe/Ausgatesteuerschaltung 5 ist emeS^hnitt- 

mer Uber den Eingabe/Ausgabeteil in den Prozessor 17 ein. 50 stellenschaltung zwischen der IC-Karte und den Termmak 

2Mr^rProz«sorl7enmimmtdiePersonenidendfikations^ 30, 31 fur die Karte. Erne TDatei 6 beUifit die Bogbmtt. 

nummer von einem geheimen Bereich unter der Steuerung die Termmal-Nummem den B^eldernpfan ; und^ d. Zah- 

der Software lungen, den Kontostand, die Datenanderungsfeststellung- 

203 Der Prozessor 17 erzeugt Uber den Eingabe/Ausgabeteil scodierungu.fi. 

Signal "in Ordnung", wenn die Persone- 55 Um den Bargeldempfang ;au «e Karte ^^be^wud 

nidentifizierungsnummer, die vom Benutzer 16 eingegeben die Karte zunfichst in em B » kte ™ n ^.^£f S£ 

wurde, mit der Personenidendfizierungsnummer Uberein- wird von der Tastatur aus em Kennwort eingegeben Das 

Zmt, die im geheimen Bereich enthalten ist, erzeugt ein Kennwort wird Ober die EingabesteuerachMtung 5 emgege- 

nSes Signal W, wenn das nicht der Fall ist. ben und nut der Codierung in der Schakung ; d ure h die 

^MWrnndasnegativeSignalerzeugtwirdscbieibtderPro- «o Mischschaltung gemischt, um sichereusteUen, daB es sich 

^SSS^ °£ Uest der Prozessor 17 keine Da- bei der eingebenden Person um eine Peraon ^delt, ^ 

teTmehr bis das positive Signal das nachstemal erzeugt sitzer der Karte ist. Wenn das Mischergebm posiUv irt, mrd 

ten menr, ms u«i» pu»m 6 ^ Konto-Nummer der Eingabe/Ausgabesteuerschaltung 5 

205 Wenn das positive Signal erzeugt wird, emeuert das Ge- auf ein Signal von der Mischschaltung 1 ansprechend zuge- 

Lhfift 9 den TlSStZ Transaktionsbereiches 22 unter Ver- 65 fuhrt. Eine Konto-Datei wird dann am Bankterminal geoff- 

lenSin Tdes VerachlUsselungsbegriffes 102 und des Ent- net. Wenn Bargeldempfangsdaten von der Tastatur der Karte 

TchlSungsbegriffes 103 uf Abhfingigkeit von dem was eingegeben werden. wud eine ^ei^eran^Tbr- 

der Benutzer 16 gekauft hat. nnnal zusammen nut dem Bargeldempfang. der Zeit- dem 
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Kontostand und der Terminalnummer eingegeben. In der 
Karte werden die Daten, die durch die Eingabesteuerschal- 
tung hindurchgegangen sind, der Datenanderungsfeststel- 
lungsschaltung 4 zugefUhrt, die eine Datenanderungsfest- 
stellungscodierung dadurch bildet, daB sie die Zeit, die Ter- 
minalnummer und den Bargeldempfang als Eingangswerte 
der VerschlUsselungsvorrichtung niit der Sicherheitscodie- 
rung der Karte und der Sicherheitscodierung des Terminals 
als Kennbegriffe liefert. Diese Daten werden in die Datei 6 
geschrieben und gleichzeitig in die Konto-Datei geschrie- 
ben. Die Sicherheitscodierung 2 des Terminals wird am Si- 
cherheitscodierungsbereich der Karte aufgezeichnet DerSi- 
cherheitscodierungsbereich ist dabei ein Speicherbereicb, 
der mit einer Einrichtung zum Schiitzen der Daten in Form 
einer Hardware und einer Software versehen ist, so daB die 
Daten durch eine auBenstehende Person nicht entnommen 
werden k6nnen und keine Daten von einer auBenstehenden 
Person eingeschrieben werden konnen. 

Um in einem Geschaft einzukaufen, wird die Karte mit ei- 
nem Einkaufsterminal 31 verbunden und wird ein Kennwort 
durch die Tastatur am Einkaufsterminal 31 eingegeben. 
Wenn das richtige Kennwort eingegeben wird, h'est das Ein- 
kaufsterminal den Kontostand von der Karte, Nachdem der 
Kontostand gepriift ist, werden die Preise fur die gekauften 
Waren iiber die Tastatur am Terminal 31 eingegeben. Wenn 
die Bargeldzahlung, die Zeit, der Kontostand, die Einkaufs- 
terminalnummer und die Sicherheitscodierung am Terminal 
eingegeben werden, wie es oben beschrieben wurde, emp- 
fangt die Datenanderungsfeststellungsschaltung 4 in der 
Karte die Zeit 61, die Terminalnummer 62, den Bargeld- 
empfang und die Zafalung 63 und den Kontostand 64 ais 
Eingangsdaten, um eine Datenanderungsfeststellungscodie- 
rung 65 zusammen mit den Sicherheitscodierungen der 
Karte und des Terminals als Schlusselbegriffe zu bilden. 
Diese Daten werden in die Datei 6 geschrieben und gleich- 
zeitig uber das Einkaufsterminal 31 zusammen mit der im 
Kontonummernfeld aufgezeichneten Kontonummer in die 
Geschaftstransaktionsdatei 32 geschrieben. 

Die Geschaftstransaktionsdatei 32 wird auf die Bank 
ubertragen, fur jede Kontonummer umgeordnet und in die 
Kontodatei 33 geschrieben. 

Wenn das Guthaben kleiner wird und der Benutzer emeut 
einen Bargeldempfang auf die Karte schreiben will, ruhrt er 
die Karte in das Bankterminal 30 ein und gibt das Kennwort 
ein. Wenn das Kennwort annehmbar ist, kann die Datei der 
Karte vom Bankterminal 30 ausgelesen werden. Das Bank- 
terminal liest die Kontonummer von der Karte und dffhet 
eine Kontodatei, in die bereits Daten vom Geschaft ge- 
schrieben worden sind. Eine lautere oder unlautere Behand- 
lung wird daher dadurch unterschieden, daB die Datei der 
Karte mit der Kontodatei zusammen gefiihrt und der Konto- 
stand gepriift wird. 

Wenn beide Aufzeichnungen richtig sind, werden die 
Aufzeichnungen von der Kartendatei geloscht. 

Wenn alle Aufzeichnungen annehmbar sind, Ubertriigt die 
Bank die Geidmenge, die der Verbraucher im Geschaft aus- 
gegeben hat Der Kontostand wird in der Bank berechnet 

Um den Kontostand zu priifen, werden Barauszahlungen 
63 infolge jedes Einkaufs von dem Anfangskontostand der 
Kartendatei abgezogen, und wird das Ergebnis dieser Sub- 
traktion mit dem Kontostand 64 zusammengezahlt 

Wenn die Aufzeichnungen nicht Ubereinstimmen, wird 
die Sicherheitscodierung am Terminal fur jede der Auf- 
zeichnungen von der Bankdatei auf der Grundlage der Ter- 
minalnummer 62 der Aufzeichnungen ausgelesen. Die Si- 
cherheitscodierung und die Aufzeichnung werden dann der 
Karte eingegeben, um eine Datenanderungsfeststellungsco- 
dierung von der Karte zu erhalten. Um diese Codierung mit 



der Datenanderungsfeststellungscodierung der vorherge- 
henden Aufzeichnung der Karte oder der Bankdatei zusam- 
men zu fiihren, wird darauf wahrend der PrUfung der Fest- 
stellungscodierung Bezug genornmen. 

5 Es sei im folgenden angenommen, daB die Aufzeichnung 
nicht in tJbereinstimmung stent, wobei der Inhalt der Auf- 
zeichnung, der nicht in tJbereinstimmung steht, die Zeit ist 
In diesem Fall wird die Aufzeichnung der Zeit, die in t)ber- 
einstimmung mit irgendeiner der Aufzeichnungen steht, ge- 

10 funden. 



a) Die IC-Karte enthalt keine entsprechende Aufzeich- 
nung und die Feststellungscodierungsprufung der 
Bankaufzeichnung und die Prilfung des Kontostandes 
sind in Ordnung. In diesem Fall enthalt die Karte keine 
Aufzeichnung und es wird davon ausgegangen, daB die 
Aufzeichnung von der IC-Karte gelOscht ist. 

b) Die IC-Karte enthalt keine entsprechende Auf- 
zeichnung und die Priirung der Feststellungscodierung 
der Bankaufzeichnung ist nicht annehmbar: In diesem 
Fall wurde die Aufzeichnung auf der Seite der Bank 
zugegeben und es wird davon ausgegangen, daB die 
Aufzeichnung unberechtigt in die Bankdatei gegeben 
wurde. 
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20 



25 



Dieselben Feststellungen k6nnen auch dann getroffen 
werden, wenn auf der Seite der Bank keine entsprechenden 
Aufzeichnungen vorhanden sind. 
Wenn die Aufzeichnung nicht in Obereinstimmung steht, 
30 wobei der Inhalt der Aufzeichnung, der nicht in Oberein- 
stimmung steht die Terminalnummer und der Bargeldemp- 
fang und die Zahlungen sind, wird eine einwandfreie oder 
nicht einwandfreie Behandlung dadurch festgestellt, daB 
jede Feststellungscodierung gepriift wird. 
35 Wenn weiterhin die Aufzeichnung nicht in Obereinstim- 
mung steht und der Inhalt der Kontostand ist wird eine ein- 
wandfreie oder nicht einwandfreie Behandlung dadurch 
festgestellt, daB jeder Kontostand gepriift wird 
Es ist auch erlaubt, statt der Zeitdaten Nummem wie bei- 
40 spielsweise Seriennummem zu verwenden. 

Bei dem oben beschriebenen Ausfuhrungsbeispiel der Er- 
findung ist es moglich, Anderungen der Daten in der IC- 
Karte oder in der Bankdatei festzustellen. 
Im folgenden wird ein drittes Ausfuhrungsbeispiel der er- 
45 findungsgemaBen IC-Karte anhand der Fig. 5 bis 7 beschrie- 
ben. 

Fig. 5 zeigt in einem Diagramm schematisch den Aufbau 
eines IC-Kartensystems fur Gesundheitsdaten, bei dem die 
IC-Karte 100 mit einem dafiir vorgesehenen Terminal 200 

50 Uber eine Schnittstelle 290 verbunden ist, um die Funktio- 
nen der IC-Karte darzustellen. 

Die IC-Karte 100 besteht aus einem Mikroprozessor 120, 
einem Festspeicher ROM 110, einem programmierbaren 
Festspeicher PROM 130 und einem elektrisch loschbaren 

55 programmierbaren Festspeicher EEPROM 140, die iiber Si- 
gnalleitungen 150 miteinander verbunden sind. Wenn die 
IC-Karte 100 Uber eine Signalleitung 160 mit dem Terminal 
200 fiir die IC-Karte verbunden ist, wird das Programm im 
PROM 130 in den Mikroprozessor 120 geiaden, so daB es 

60 benutzt werden kann. 

Das Terminal 200 fiir die IC-Karte besteht aus einem Mi- 
krocomputer 240, einer Tastatur 210 und einer Anzeige 220, 
die uber Signalleitungen 170 miteinander verbunden sind. 
Der Mikrocomputer 240 ist weiterhin uber eine Signallei- 

65 rung 180, einen Modem 310, eine offentliche Telefonleitung 
320 und einen weiteren Modem 330 mit einem Datenverar- 
beitungszentrum 400 verbunden. Das Datenverarbeitungs- 
zentrum 400 besteht aus einem Computer 410 und einer Da- 
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tenbank 420. 

Der Besitzer der IC-Karte 100 kann einen Arzt aufsuchen, 
der nicht sein Hausarzt ist, und seine Personenidentifizie- 
rungsnummer uber die Tastatur 210 eingeben. Das Signal 
wird dann iiber den Microcomputer 240 auf der Seite des 5 
Terminals 200 dem Mikroprozessor 120 in der IC-Karte zu- 
gefiihrt. Der Mikroprozessor 120 ruhrt aber den Speicher 
ROM U0 einen Suchvorgang durch. 

Der ROM 110 hat dabei den in Fig. 6 dargestellten Daten- 
aufbau. Der Datenaufbau besteht somit aus einer Personeni- 10 
dentifizierungsnummer 111 des Besitzers der IC-Karte 100, 
einer Zulassigkeitsstufe 112 des Informationsbezuges des 
Besitzers, Zulassungscodierungen 113 der praktizierenden 
zugelassenen Arzte, deren Personenidentifizierungsnum- 
mem 114, deren Zulassigkeitsstufe 115 des Informationsbe- 15 
zuges, Berechtigungscodierungen 117 der Daten der zuge- 
lassenen Arzte und einer Zulassigkeitsstufe 116 des Infor- 
mationsbezugs fur nicht zugelassene Arzte. 

Wenn der Mikrocomputer 120, der einen Suchvorgang 
durch den Speicher ROM 110 ausruhrt, die Personenidenti- 20 
fizierungsnummer, die eingegeben wind, als iibereinstim- 
mend mit der Personenidentifizierungsnummer 111 des Be- 
sitzers anzeigt, wird die Zulassigkeitsstufe 112 des Informa- 
tionsbezuges ausgelesen. Es sei angenommen, dafi es nur 
eine Stufe 1 gibt. Auf der Grundlage dieser Stufe liest der 25 
Mikroprozessor 120 die Datei im EEPROM 140. 

Fig. 7 zeigt den Datenaufbau im EEPROM 140. Dabei sei 
angenommen, daB die Daten A 141, die mit der Stufe 1 und 
der Stufe 2 zugrcifbar sind, die Daten B 142, die nur mit der 
Stufe 1 zugreifbar sind, im EEROM 140 enthalten sind. Bei- 30 
spielsweise enthalten die Daten A 141 die fur die Diagnose 
und Therapie notwendigen Informadonen wie die Blut- 
gruppe, das Diagnoseergebnis einer medizinischen Untersu- 
chung, die Krankengeschichte u. a. - Die Daten B 142 ent- 
halten Daten wie die familiaren Verhaltnisse u. a. die keinen 35 
direkten Bezug auf die Diagnose und die Therapie haben, 
sowie diejenigen Daten, von denen der Besitzer der Karte 
nicht wiinscht, daB andere Personen ohne seine Eriaubnis 
davon Kenntnis erhalten. 

In diesem Fall wird die Stufe 1 durch den Mikroprozessor 40 
120 gegeben, urn einen Zugriff zu den Daten A 141 und zu 
den Daten B 142 zu ermoglichen. Die Daten werden nam- 
lich vom Mikroprozessor 120 dem Mikrocomputer 240 fiir 
das Terminal zugefiihrt, einer Verarbeitung zur Anzeige un- 
terworfen und an der Anzeigeeinheit 220 angezeigL Die Da- 45 
ten werden auch fur den Arzt angezeigt, um fur die Dia- 
gnose und Therapie herangezogen zu werden. Ein Teil der 
Ergebnisse wird auch uber die Tastatur 210 eingegeben und 
in den Datenbereich A 141 oder den Datenbereich B 142 im 
EEPROM 140 Uber den Mikroprozessor 240 den Mikropro- 50 

zessor 120 u. a. geschrieben. 

Es kann dabei vorkommen, daB der Besitzer der IC-Karte 
100 bei einem Verkehrsunfall einer Notbehandlung bedarf, 
ohne in der Lage zu sein, seibst seine Personemdentifizie- 
rungsnummer einzugeben. In diesem Fall gibt der Arzt seine 55 
Zulassungscodierung als praktizierender Mediziner und 
seine Personenidendfizierungsnummer uber die Tastatur 
210 ein. Das Eingabeergebnis liegt am Mikroprozessor 110 
in der IC-Karte 100, und zwar uber den Mikrocomputer 240. 
Der Mikroprozessor 120 bildet eine Berechdgungscpdie- 60 
rung mit der Personemdentifizierungsnummer 114 als 
SchlUssel und mit den Daten des zugelassenen Arztes als 
Eingangsdaten, stellt sicher, ob die in dieser Weise gebildete 
Zulassigkeitscodierung in tJbereinsdmmung mit der Zulas- 
sigkeitscodierung 117 stent, die in die Datei geschrieben ist, 65 
und vergleicht die Zulassungscodierung 113 des niederge- 
lassenen Arztes und die Personenidentifizierungsnummer 
114 des zugelassenen Arztes im ROM 110 mit der Zulas- 



814 C 3 

8 

sungscodierung und der Personenidendfizierungsnummer, 
die eingegeben sind. Wenn diese Daten ubereinstimmen, 
liest der Mikroprozessor 120 die Zulassigkeitsstufe 115 des 
Informadonsbezuges und die Daten, die dieser Zulassig- 
keitsstufe genUgen, vom EEPROM 140. Das Ergebnis wird 
uber den Mikroprozessor 120 und den Mikrocomputer 240 
an der Anzeigeeinheit 220 angezeigt. 

Wenn die Zulassungscodierung des Arztes im entspre- 
chenden ROM 110 gefunden wird, die Personenidendfizie- 
rungsnummer jedoch nicht iibereinstimmt, wird diese Tatsa- 
che an der Anzeigeeinheit 220 angezeigt und wird der Ar- 
beitsvorgang abgeschlossen. 

Wenn sogar die Zulassungscodierung des niedergelasse- 
nen Arztes im ROM 110 nicht gefunden wind, werden die 
Zulassungscodierung und die Personenidendfizierungsnum- 
mer, die vom Arzt eingegeben werden, dem Datenverarbei- 
tungszentrum 400 zugefiihrt, wo der Computer 410 zusam- 
mensteEt, ob die Datenbank Daten enthalt, die mit der Zu- 
lassungscodierung und der Personenidendfizierungsnum- 
mer ubereinsdmmen. Wenn das der Fall ist, wird eine ge- 
heime Codierung, die die tjbereinsdmmung anzeigt, der IC- 
Karte 100 Uber den Mikrocomputer 240 zugefiihrt Die IC- 
Karte 100 entnimmt die Daten in Abhangigkeit von der Zu- 
lassigkeitsstufe 116 des Informadonsbezuges ftir nicht regi- 
strierte Arzte und zeigt die Daten an der Anzeigeeinheit 220 
an. 

Wenn die Zulassungscodierung des Arztes oder die Per- 
sonenidendfizierungsnummer des Arztes, die eingegeben 
wind, nicht ubereinstimmt, wird diese Tatsache an der An- 
zeigeeinheit 220 angezeigt und wird der Arbeitsvorgang ab- 
geschlossen. 

Um eine zufallige ttbereinstimmung zu vermeiden, die 
dann auftreten konnte, wenn Daten mehrfach eingegeben 
werden, ist es erlaubt, die GegenmaBnahme vorzusehen, daB 
ein Zugriff nicht mehr moglich ist, wenn eine falsche Perso- 
nenidendfizierungsnummer mehr als M-mal eingegeben 
wird, wobei M eine bestimmte Zahl isL Wenn ein Zugriff 
zum Datenverarbeitungszentrum erfolgt, kann es weiterhin 
vorgesehen sein, die Zulassungscodierung des Arztes, die 
Daten und die Zeit und den Besitzer der Karte in der Daten- 
bank des Daten verarbeitungszentrums zur Datenerfassung 
zubelassen. 

Im vorhergehenden wurden die Falle beschrieben, bei de- 
nen getrennte Inhalte im Speicher ROM 110 und EEPROM 
140 gespeichert sind. Die Inhalte k6nnen jedoch auch ge- 
meinsam im EEPROM 140 gespeichert sein. Weiterhin kann 
ein Speicher mit direktem Zugriff RAM statt des EEPROM 
verwandt werden, vorausgesetzt, daB die Daten gespeichert 
sind, ohne geloscht zu werden. 

Die vorhergehenden Ausfiihrungsbeispiele befaBten sich 
mit den Fallen, in denen zwei Zulassigkeitsstufen des Infor- 
mationsbezuges vorhanden waren. Es versteht sich jedoch, 
daB auch drei oder mehr Zulassigkeitsstufen des Informad- 
onsbezuges vorgesehen sein konnen. 

Obwohl die obige Beschreibung sich weiterhin auf ein 
IC-Kartensystem fiir Gesundheitsdaten bezog, eignet sich 
die erfindungsgemaBe Ausbildung auch bei einem IC-Kar- 
tensystem fiir Besitz- oder Vermogensdaten und bei ahnli- 
chen Systemen, bei denen eine dritte qualifizierte Person ge- 
zwungen sein kann, auf die Daten in einem Notfall zuzu- 
greifen. 

Das erfindungsgemaBe System, bei dem ein Bankinstitut 
die Rolle des IC-Kartenherausgebers spielt und eine IC- 
Karte fiir einen Benutzer ausgibt, so daB dieser in einer Viel- 
zahl von Geschaften einkaufen kann, hat die folgenden Vor- 
teile: 

1. Schutz der Vertraulichkeit: Daten wie beispiels- 
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weise der Name des Handlers und der Geldbetrag wer- 
den mit Verschlusselungsbegriffen verschlusselt, die 
fiir die jeweiligen Geschafte verschieden sind, und auf 
die IC-Karte geschrieben. Das heiBt, daB die Situation, 
in der die Karte in einem Geschaft benutzt wurde, fiir 
die anderen Geschafte geheim bleibt und die Vertrau- 
lichkeit fiir den Benutzer geschutzt wird. 

2. Leichte Schlusselverwaltung: Der IC-Kartenver- 
walter, der einen Hauptentschliisselungsbegriff fur ei- 
nen Benutzer hat, kann alle Daten in der IC-Karte ent- 
schlOsselt. Der IC-Kartenverwalter benotigt einen ge- 

' ringeren Arbeitsaurwand fur die Schlusselverwaltung 
beim Begleichen der ausgegebenen Geldbetrage, die in 
der IC-Karte aufgezeichnet sind. 

3. Sicherheit der Schlusselverwaltung: Der Hauptent- 
schliisselungsbegriff wird nur vom IC-Kartenverwalter 
verwaltet und die Zahl der Zugriffe ist relau" v klein. Der 
HauptentschlusselungsbegrirT kann daher sicher ver- 
waltet werden. Wenn weiterhin ein Geschaft den Ver- 
schlUsselungsbegriffoder den EntschlUsselungsbegriff 20 
unbeabsichtigt verloren hat, kann der Verschliissel- 
ungsbegrirT oder der Entschliisselungsbegriff in der IC- 
Karte leicht unter Verwendung des HauptentschlUssei- 
ungsbegrifTes der Karte entnommen werde. 

4. Es ist moglich, eine Anderung oder Falschung der 25 
Daten in der IC-Karte und in der Bankdatei festzustei- 
len. 

5. Im Notfall kann eine dritte qualifizierte Person zu 
den Daten zugreifen und die Daten zum Nutzen des Be- 
sitzers der IC-Karte verwenden. 

6. Die Stufe zum Zugriff zu den Daten kann geteilt 
werden, so daB die Daten innerhalb eines Bereiches ei- 
ner gegebenen Stufe entnommen werden konnen. Die 
Daten, von denen der Besitzer der Karte nicht wiinscht, 
daB andere Personen davon Kennuiis erhalten, konnen 
vor dritten Personen geheim gehalten werden. 

7. Eine dritte qualifizierte Person klassifiziert die Da- 
ten in diejenigen, die in der Karte registriert werden, 
und diejenigen, die im Verwaltungszentrum registriert 
werden, so daB dann, wenn ein Arzt diese Daten be- 
nutzt, der Arbeitsaurwand und die Kosten fiir einen Zu- 
griff zum Zentrum iiber eine Datenverbindungsschal- 
tung herabgesetzt werden konnen. 
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nem der Terminals entschliisselt werden. 



Hierzu 5 Seite(n) Zeichnungen 
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Patentanspriiche 



IC-Karte zum bidirektionalen Datentransfer mit einer 
Vielzahi von Terminals (9 bis 11), auf der ein Berechti- 
gungscode fiir die Benutzung der Vielzahi von Termi- 50 
nals durch einen Benutzer (16) der IC-Karte gespei- 
chert und auf der ein Speicher (19) vorgesehen ist, der 
in eine Vielzahi von Bereichen (22 bis 24) aufgeteilt 
ist, da durch gekennzeichnet, daB 
jedem der Bereiche ein eigenes VerschlUsselungs- und 55 
Entschlusseiungsbegriffspaar (102 bis 107) zugeordnet 
ist, 

wobei die verschiedenen VerschlUsselungs- und Ent- 
schlusselungsbegrirlspaare jeweils einer Anzahl von 
Personen, die die Terminals (9 bis 11) betreiben, be- 
kanntgegeben werden, urn die IC-Karte fiir diese An- 
zahl von Personen verwendbar zu gestalten, 
wobei die Daten jedes Bereiches bei Eingabe des dem 
Bereich zugeordneten VerschlusselungsbegrifTes an ei- 
nem der Terminals verschlusselt werden, und 
wobei die Daten jedes Bereiches bei Eingabe des dem 
Bereich zugeordneten EntschlUsselungsbegriffes an ei- 
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